:fill(white):strip_exif()/i/1258031228.jpeg?f=thumbmini)
Mijn vriendin heeft een tijd geleden een Trojan opgelopen op haar usb-stick. Eergisteren heb ik deze op mijn MacBook Pro in Windows XP onder VMWare gedeïnfecteerd met AVG (free). AVG gaf geen naam van de Trojan.
Op de stick stonden enkele mappen, bijvoorbeeld 'onderwijs'. De Trojan had voor elke map een exe aangemaakt, bijvoorbeeld 'onderwijs.exe'. De mappen leken verdwenen.
AVG heeft de exe's verwijderd. Bij het scannen van de stick zag ik heel snel enkele van de verdwenen mappen in de paden naar de bestanden voorbijkomen, bijvoorbeeld: scanning F:\onderwijs\blaat.doc
Als ik in de adresbalk van Explorer F:\onderwijs intoets, kom ik gewoon in de map terecht en kan ik alle bestanden zien. Dit geldt voor alle "verdwenen" mappen. Sluit ik Explorer af en open ik de stick opnieuw, dan zijn alle mappen weer onzichtbaar. (De optie "Verborgen mappen en bestanden weergeven" staat ingeschakeld.) Google gaf geen bruikbaar resultaat op "invisible folders" e.d.
Tevens zijn alle mappen readonly. Ik kan de mappen van readonly af halen, maar deze wijziging wordt niet bewaard. Ik ben administrator in mijn Windowx XP.
Ik ben er nu in geslaagd om alle mappen in kwestie te kopiëren naar een folder op een Mac-partitie. Toen ik ze vandaar terug kopieerde naar de stick, waren ze weer zichtbaar en niet meer readonly. De door de virusmaker gebruikte techniek lijkt me dus afhankelijk van het bestandssysteem van de stick (ik weet zo niet welk dat is; wellicht FAT32).
Mijn vraag is nu, met welke truc deze onzichtbaarheid en readonly-status gerealiseerd zijn en hoe ik 't ongedaan kan maken.
Op de stick stonden enkele mappen, bijvoorbeeld 'onderwijs'. De Trojan had voor elke map een exe aangemaakt, bijvoorbeeld 'onderwijs.exe'. De mappen leken verdwenen.
AVG heeft de exe's verwijderd. Bij het scannen van de stick zag ik heel snel enkele van de verdwenen mappen in de paden naar de bestanden voorbijkomen, bijvoorbeeld: scanning F:\onderwijs\blaat.doc
Als ik in de adresbalk van Explorer F:\onderwijs intoets, kom ik gewoon in de map terecht en kan ik alle bestanden zien. Dit geldt voor alle "verdwenen" mappen. Sluit ik Explorer af en open ik de stick opnieuw, dan zijn alle mappen weer onzichtbaar. (De optie "Verborgen mappen en bestanden weergeven" staat ingeschakeld.) Google gaf geen bruikbaar resultaat op "invisible folders" e.d.
Tevens zijn alle mappen readonly. Ik kan de mappen van readonly af halen, maar deze wijziging wordt niet bewaard. Ik ben administrator in mijn Windowx XP.
Ik ben er nu in geslaagd om alle mappen in kwestie te kopiëren naar een folder op een Mac-partitie. Toen ik ze vandaar terug kopieerde naar de stick, waren ze weer zichtbaar en niet meer readonly. De door de virusmaker gebruikte techniek lijkt me dus afhankelijk van het bestandssysteem van de stick (ik weet zo niet welk dat is; wellicht FAT32).
Mijn vraag is nu, met welke truc deze onzichtbaarheid en readonly-status gerealiseerd zijn en hoe ik 't ongedaan kan maken.
/u/201651/beastie_300.png?f=community)
:strip_icc():strip_exif()/u/4167/bacall8.jpg?f=community)
